Nuevas Tecnologías

El phishing, práctica fraudulenta que ha derivado en el pharming, se basa en el envío de un correo electrónico que simula proceder de un banco o caja. En este mensaje se piden los códigos secretos del usuario con el pretexto de que, si no se confirman esas claves, el propietario de la cuenta puede perder el acceso a sus datos o bien alegando problemas informáticos en la entidad. “Juegan con el miedo del usuario”, explica Gonzalo Asensio, autor del libro Seguridad en Internet. El hecho es que, a través del desconocimiento de algunos internautas, la media de dinero robado por fraude on-line a cada víctima ha aumentado desde 5.249 euros en 2003 hasta 6.383 en el año actual. “Lo que buscan los ciberdelincuentes son los números de cuenta bancaria, con sus respectivas claves, y el mayor número de información del usuario para luego vender bases de datos”, asegura Jose Mª Luque, responsable de seguridad de la Asociación de Internautas (AI).

Una vez obtenidos los datos bancarios del usuario, el círculo se cierra a través de otro tipo de fraude. En este punto entran en juego las ofertas falsas de trabajo. A través del reclamo de un jugoso salario, la víctima se convierte en un “mulero”. Una empresa ficticia le ofrece trabajar cómodamente desde su casa. El ciberdelincuente le ingresa una cantidad de dinero en su cuenta, que proviene de un phishing, y la víctima debe mandar parte de ese beneficio a otro destino. De esta forma, la persona que ha aceptado una oferta falsa de trabajo está en realidad blanqueando dinero, con las correspondientes consecuencias legales.

Ahora bien, “el hecho que existan este tipo de fraudes no significa que la banca on-line sea insegura, al contrario, en temas de seguridad se está perfeccionando a diario”, añade Luque. De esta misma forma se opina desde Bankinter, desde donde se ha comentado que “la banca on-line goza de la misma seguridad que la banca realizada por otro tipo de canales, tanto presenciales como a distancia. En nuestro caso, más del 50% de las operaciones que se realizan en el banco se hacen a través de Internet”.

“El atacante ha pasado de buscar la atención mediática a perseguir su propio beneficio económico”

A pesar de los esfuerzos de asociaciones, entidades bancarias y administración, lo cierto es que en 2005 el 75% de los casos detectados de phishing se dirigían a bancos, según la AI. Le siguen las empresas de subastas on-line y de intercambio de dinero, con un 20% de ataques, y las web falsas de recargas de móviles, con un 5%. Para las víctimas, el robo de su identidad les supone tener que dedicar una media de 600 horas para recuperarse del crimen, entre el papeleo, las oportunas denuncias, el juicio… Ese desgaste de tiempo equivale a 16.000 euros de pérdidas potenciales o de ingresos no generados. Además, “muchos jueces desconocen los temas de fraude on-line y la legislación tampoco está muy clara”, comenta el responsable de seguridad de la AI.

El perfil del delincuente

Al mismo tiempo que han ido evolucionando los fraudes en Internet, también ha ido cambiando el perfil del atacante. Años atrás, un “hacker” (que en un sentido puro es aquella persona que le apasiona el conocimiento, descubrir o aprender nuevas cosas y entender su funcionamiento) se asociaba con “jóvenes, con conocimientos muy avanzados, que les interesaba que un virus se expandiese por medio mundo en el menor tiempo posible, y que su nombre estuviese en todas las portadas”, según explica Asensio.

Con las nuevas modalidades de engaño, el fraude en la red “se ha convertido en un negocio. Ahora son verdaderas instituciones ilegales que manejan diversos ataques para obtener su propio beneficio económico”, añade.

Vulnerabilidad del usuario y del sistema

Es probable que muchas personas se pregunten cómo es posible caer en este tipo de engaños, dado que muchas veces parece muy evidente que se trata de un intento de fraude. Jose Mª Luque reconoce que “hay algunos que son muy claros, pero también otros que no lo son. Un par de años atrás este tipo de correos eran auténticas chapuzas, pero en la actualidad muchos son ataques muy profesionales”. Contra estos ataques más sofisticados, “lo que hay que hacer es usar el sentido común”. Desde Bankinter se entiende que “lo importante, como en otras facetas de la vida, es asimilar buenos hábitos. Obviamente para poder asimilarlos es necesaria la información y el asesoramiento, y esto sí es una responsabilidad que las entidades bancarias deben asumir”.

Gonzalo Asensio también atribuye parte del éxito de los fraudes al tipo de navegador utilizado. “Los ciberdelincuentes saben que Windows es el sistema operativo más utilizado y que, por tanto, Internet Explorer es el navegador más usado, pero también el más vulnerable. Una primera medida de seguridad para el usuario es utilizar un navegador alternativo”.

“La prevención de los fraudes en Internet pasa por la formación de los usuarios”

Microsoft, por su parte, ya está trabajando en la mejora de la seguridad de su navegador, y ya ha anunciado que distribuirá la nueva versión del mismo, Internet Explorer 7, a través de su servicio de Actualizaciones Automáticas. Fuentes de la compañía aseguran que “el nuevo filtro para combatir las estafas que utilizan técnicas de phishing ofrece una mejor protección contra los sitios web malintencionados, ayudando a evitar que los usuarios sean víctimas de direcciones URLs engañosas”. Este filtro para phishing analiza de manera proactiva las páginas Web, advirtiendo a los usuarios sobre sitios fraudulentos o sospechosos, bloqueando incluso el acceso a lugares de phishing confirmados. Esta herramienta opcional se actualiza varias veces cada hora.

Un problema de formación y prevención

“A los usuarios y los clientes de entidades bancarias les hace falta la formación adecuada”, argumenta Luque. “En la gran mayoría de los casos la efectividad de los ataques depende de la responsabilidad del usuario”, añade Asensio.

Ambos expertos hacen unas recomendaciones básicas para una correcta prevención, junto con Bankinter que considera que “todos los consejos pueden resumirse en uno: ser consciente de los riesgos inherentes a Internet, de modo que el propio cliente pueda formar parte activa en su propia auto-protección”.

• Mantener el sistema operativo y las aplicaciones con parches de seguridad
• Tener actualizado el antivirus, ya que la mayoría de ataques de pharming se realizan utilizando unos virus informáticos denominados troyanos
• Según Asensio, utilizar un navegador alternativo a Internet Explorer
• Mantener sus claves en secreto
• No entregar su tarjeta de coordenadas a otras personas
• Desconectarse al terminar su sesión de banca electrónica
• El banco no va a mandar nunca un correo electrónico solicitando ningún tipo de clave. La entidad ya tiene todos los datos del usuario, en cualquier caso son los clientes quienes le pueden solicitar sus claves si las han perdido
• Si aún así una persona pincha en el link, hay que comprobar que se está bajo una conexión segura mediante dos señales: que aparezca en la barra de direcciones el inicio “https” y que, en el caso de usar el navegador Internet Explorer, en la parte inferior derecha aparezca un icono en forma de candado (si se pincha dos veces sobre él, se podrá ver el certificado de autentificación de la página)
• Y sobretodo ser prudente y usar el sentido común

Si se ha sido víctima de phishing bancario o pharming…

• Cambiar las claves
• Llamar inmediatamente y de forma urgente a la entidad bancaria
• Denunciar el caso ante las fuerzas de seguridad del Estado

Noticias relacionadas

Casi el 90% de las amenazas informáticas constituyen un ciberdelito y buscan beneficio económico

La primera campaña contra el robo de identidad en Internet alerta de los peligros del fraude on-line